Drone

Drone

Observatorio de la Defensa

Corea del Norte espía el sector europeo de drones: ESET detecta nuevas acciones del grupo Lazarus

La campaña de ciberespionaje apuntó a varias empresas europeas del sector de defensa, incluidas algunas vinculadas al desarrollo de drones.

Más información: Dentro del cuartel de ciberseguridad de la OTAN en Tallin, donde los militares se preparan para la guerra híbrida

Publicada
Actualizada

Las claves
nuevo Generado con IA

ESET ha identificado una nueva campaña de ciberespionaje del grupo norcoreano Lazarus, conocida como Operación DreamJob, dirigida a empresas europeas del sector de defensa, especialmente aquellas relacionadas con el desarrollo de drones.

Los atacantes utilizaron ingeniería social y falsas ofertas de empleo para obtener acceso inicial a los sistemas de las empresas, utilizando el troyano de acceso remoto ScoringMathTea para tomar control total de los equipos infectados.

La campaña busca robar información confidencial y conocimientos técnicos sobre procesos de fabricación, posiblemente para mejorar los diseños de drones de Corea del Norte y obtener información sobre armamento occidental empleado en la guerra entre Rusia y Ucrania.

Lazarus ha mantenido un modus operandi constante durante casi tres años, utilizando el malware ScoringMathTea y métodos similares para comprometer aplicaciones de código abierto, lo que indica un enfoque predecible pero efectivo para eludir la detección.

ESET, compañía experta en soluciones de seguridad, ha detectado un nuevo episodio de la campaña de ciberespionaje Operación DreamJob, atribuida al grupo norcoreano Lazarus. La campaña apuntó a varias empresas europeas del sector de defensa, incluidas algunas vinculadas al desarrollo de drones.

Los ataques, observados en entornos reales, afectaron sucesivamente a tres compañías del centro y sudeste de Europa y podrían estar relacionados con los esfuerzos de Pyongyang por impulsar su programa de vehículos aéreos no tripulados.

Los investigadores de ESET señalan que los atacantes obtuvieron acceso inicial mediante ingeniería social, utilizando como cebo falsas ofertas de empleo, sello característico de la Operación DreamJob.

El principal malware detectado fue ScoringMathTea, un troyano de acceso remoto (RAT) que otorga control total sobre los equipos infectados. La campaña, atribuida con alta confianza al grupo norcoreano Lazarus, buscaba robar información confidencial y conocimientos técnicos de empresas europeas de los sectores aeroespacial, defensa e ingeniería.

Todo indica que el acceso inicial se consiguió mediante técnicas de ingeniería social. El principal payload empleado fue ScoringMathTea, un troyano de acceso remoto (RAT) que permite a los atacantes tomar el control total de los equipos comprometidos.

El objetivo más probable de la campaña era robar información confidencial y conocimientos técnicos relacionados con los procesos de fabricación.

“En 2023 pudimos observar y analizar una campaña similar dirigida y orquestada por Lazarus a una empresa española del sector aeroespacial”, comenta Josep Albors, director de investigación y concienciación de ESET España. “En aquel análisis descubrimos varias herramientas nuevas siendo usadas por la Operación Dreamjob, que han servido de base para campañas posteriores como la que ahora se presenta”.

Tecnología de drones

Las empresas afectadas fabrican equipamiento militar y componentes que se usan actualmente en Ucrania como parte de la ayuda europea. La Operación DreamJob coincidió con el despliegue de soldados norcoreanos en Rusia, lo que sugiere que la campaña podría haber buscado información sobre armamento occidental empleado en la guerra ruso-ucraniana.

Las organizaciones atacadas fabrican materiales que Corea del Norte también produce, lo que apunta a un posible intento por mejorar sus propios diseños. El interés por los drones resulta especialmente revelador, dado que Pyongyang “invierte fuertemente en el desarrollo de su industria nacional de UAV (drones)”, según ESET.

Soldados chinos participan en el desfile militar para conmemorar el 80 aniversario del fin de la Segunda Guerra Mundial, en Pekín.

“Creemos que la operación DreamJob buscaba robar información y conocimientos de fabricación relacionados con vehículos aéreos no tripulados”, explica Peter Kálnai, investigador de ESET.

“Hallamos indicios de que una de las empresas afectadas produce dos modelos de UAV empleados en Ucrania y vinculados con la cadena de suministro de drones avanzados que Corea del Norte está intentando replicar”.

Sistemas de detección

En general, los atacantes del grupo Lazarus son altamente activos y suelen desplegar sus puertas traseras (backdoors) contra múltiples objetivos. Para ocultarlas, emplea droppers y loaders simples como capas intermedias. En los últimos ataques, los ciberdelincuentes integraron su código malicioso en proyectos de código abierto de GitHub.

El malware principal, ScoringMathTea, es un troyano de acceso remoto con unas 40 funciones, detectado por primera vez en 2022 en Europa y usado desde entonces en campañas en India, Polonia, Reino Unido e Italia. ESET lo considera uno de los payloads más característicos de la operación DreamJob.

“Durante casi tres años, Lazarus ha mantenido un modus operandi constante, desplegando su payload principal preferido, ScoringMathTea, y utilizando métodos similares para infectar aplicaciones de código abierto”, señala Peter Kálnai, investigador de ESET.

“Esta estrategia, predecible pero eficaz, aporta el polimorfismo justo para evadir la detección, aunque no logra ocultar la identidad del grupo”, subraya Kálnai.